Android-Apps: Altbekannte Probleme gefährden Millionen von Nutzern

Sicherheitsforscher haben in beliebten Android-Apps Probleme mit falsch konfiguierten Cloud-Diensten entdeckt. Die wären wohl leicht vermeidbar gewesen.

Artikel veröffentlicht am , Anna Biselli
Manchmal können weniger Apps auch mehr sein.
Manchmal können weniger Apps auch mehr sein. (Bild: Azamat E/unsplash.com)

Die Forschungsabteilung des IT-Sicherheitsunternehmens Check Point hat 23 Android-Apps untersucht und dabei zahlreiche Sicherheitsprobleme mit falsch konfigurierten oder integrierten Cloud-Diensten gefunden. Bei einigen der Anwendungen konnten die Forscher auf ungesicherte Datenbanken zugreifen, bei anderen waren Schlüssel für Push-Notifications oder Cloud-Speicher in den Anwendungen selbst gespeichert.

Stellenmarkt
  1. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Systementwickler/in (m/w/d) - Fahrzeug- und Systemfunktionen
    Volkswagen AG, Wolfsburg
Detailsuche

Verwunderlich an der Untersuchung von Check Point sind nicht die Probleme an sich, sondern dass auch Apps mit teils mehr als zehn Millionen Installationen grundlegende Sicherheitspraktiken nicht beachten.

Insgesamt seien über alle untersuchten Apps hinweg persönliche Daten von 100 Millionen Nutzern zugänglich gewesen, darunter Nachrichten, Passwörter, Fotos oder Geodaten, so Check Point. Die Sicherheitslücken traten durch Fehlkonfigurationen von Drittanbieter-Diensten auf, die in die Apps integriert sind. Durch Real-Time-Datenbanken etwa können Entwickler Daten synchron und Plattform-unabhängig für alle Nutzer bereitstellen. "Aber was passiert, wenn die App-Entwickler ihre Real-Time-Datenbank nicht mit einer einfachen und grundlegenden Funktion wie der Authentifizierung konfigurieren?", fragt Check Point auf dem Unternehmensblog.

Offenbar noch nicht alle Probleme behoben

In manchen Fällen führten die Probleme nicht nur dazu, dass persönliche Nutzerdaten in falsche Hände geraten konnten wie bei einer untersuchten Horoskop- oder einer Taxi-App. Mit auffindbaren Keys für Push-Notifications wie in einem untersuchten Fall hätten Angreifer potenziell auch falsche Benachrichtigungen an Nutzer senden können.

"Stellen Sie sich vor, eine News-App sendet ihren Benutzern eine gefälschte Nachricht, die sie auf eine Phishing-Seite weiterleitet, auf der sie aufgefordert werden, ihr Abonnement zu verlängern", so Check Point. Bei den Apps Screen Recorder für Bildschirm-Aufnahmen und dem Online-Fax-Service iFax wäre es außerdem möglich gewesen, auf die in einem Cloud-Speicher abgelegten Recordings, beziehungsweise Faxe zuzugreifen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Eine komplette namentliche Liste aller untersuchten Apps veröffentlichte Check Point nicht. Laut The Hacker News haben nicht alle der App-Anbieter die Probleme behoben, nachdem sie benachrichtigt wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krypto-Betrug in Milliardenhöhe
Gründer von Africrypt stehlen 69.000 Bitcoin

Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
Artikel
  1. iPhone: Apple warnt offenbar Leaker aus China
    iPhone
    Apple warnt offenbar Leaker aus China

    Bevor Apple neue Geräte veröffentlicht, gibt es oft eine Reihe von Leaks aus chinesischen Produktionsanlagen. Leaker haben nun Post bekommen.

  2. Buzzfeed, Wasserstoff, Berlin: Taxi-Fahrer erhalten 15.000 Euro für Elektroautos
    Buzzfeed, Wasserstoff, Berlin
    Taxi-Fahrer erhalten 15.000 Euro für Elektroautos

    Sonst noch was? Was am 24. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Lego Builder's Journey im Test: Knuffige Klötzchen knobeln
    Lego Builder's Journey im Test
    Knuffige Klötzchen knobeln

    Zwei Figuren und viele Welten: Lego Builder's Journey erzählt die Geschichte einer Reise - und sieht mit Raytracing verblüffend real aus.
    Ein Test von Marc Sauter

abi (Golem.de) 21. Mai 2021 / Themenstart

Vielen Dank für den Hinweis, ist korrigiert!

Robert.Mas 21. Mai 2021 / Themenstart

Artikel: "bei anderen waren Schlüssel für Push Notifications oder Cloud Speicher in den...

derdiedas 21. Mai 2021 / Themenstart

zumindest für so machen App-Entwickler. SAML/OAuth kennen viele nicht genauso wenig wie...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /